韓国のAI規制、日本企業にも影響大…サービス提供で問われる説明責任と記録保存

●この記事のポイント
・韓国が「ハイリスクAI」を原子力・医療・採用・融資審査まで広く規制。ログ保存や説明責任が企業の新たな必須条件となる。
・域外適用により、日本企業でも韓国市場でAIを提供すれば規制対象になり得る。GDPR級のコンプライアンス対応が迫られる。
・世界のAI規制はEU・米国・韓国で三極化。日本企業は棚卸しと監督体制の整備で透明性を確保し、規制時代の競争力を築く。

「AI規制はEUの話だろう」――。そう考えていた日本企業は、いま危険な認知バイアスに陥っている。

　韓国が本格的なAI規制、いわゆる「ハードロー（法的拘束力のある規制）」へ踏み込んだことで、アジアのルール地図は確実に塗り替わり始めた。しかも焦点は「生成AIの暴走」だけではない。原子力発電所の制御から医療、交通、行政給付、採用、融資審査まで――国民の生命や基本的人権に影響を与え得るAIを「高影響（ハイリスク）AI」として広範に定義し、厳格な義務を課す構造になっている。

　さらに日本企業にとっての核心は、これが“韓国内だけの話”で終わらない点だ。韓国市場にサービスを提供し、韓国国民に影響を与えるなら、日本企業であっても「知らなかった」では済まされない可能性が高い。GDPR（EU一般データ保護規則）がそうであったように、AI規制もまた「域外適用」が現実の経営課題として迫ってくる。

　本稿では、韓国型AI規制の本質を整理しつつ、日本企業が直面する実務的インパクトと「次の一手」を明らかにする。

●目次

• 「ハイリスクAI」の定義が広すぎる――原子力から融資審査までが対象
• 「適合性評価」「ログ保存」「人が監督」――求められるのは“AIの説明責任”だ
• 日本企業も対象になり得る「域外適用」の衝撃――“韓国で使われるなら守れ”
• 世界のAI規制は「三極化」へ――EU・米国・韓国モデルの違い
• 日本企業の「次の一手」――棚卸し・説明責任・契約再設計が急務
• 韓国は「AI規制への適応力」を測るテストベッドになった

「ハイリスクAI」の定義が広すぎる――原子力から融資審査までが対象

　では、具体的にどのようなAIが規制の対象となり得るのか。韓国の新たな枠組みでは、国民の生命・身体、基本的人権に重大な影響を及ぼす可能性のある分野を「高影響（ハイリスク）AI」として位置づけ、事業者に強い責任を負わせる設計になっている。

　注目すべきは、「生成AI」など特定の技術カテゴリを狙い撃ちするのではなく、社会的影響の大きさを軸に“用途”で規制する点だ。これはEUのAI規制に近い考え方であり、企業が“AIかどうか”を争うよりも先に、“どこで使っているか”が問われる。

　ドラフトで挙げられている領域を整理すると、規制の射程は主に次の4分野にまたがる。

生命・安全分野：事故の一撃で社会が崩壊する領域

　・原子力発電所の制御
　・医療機器の診断補助
　・交通システム（自動運転等）

　この領域のAIは、誤作動が即「人命」に直結する。「高精度であること」は当然として、想定外のケースに遭遇した時に“停止できるのか”“人間が介入できるのか”が強く問われる。

「ハイリスクAIの議論で見落とされがちなのは、“性能”より“運用設計”です。高精度でも、例外処理や責任分界が未整備なら事故は防げません」（サイバーセキュリティコンサルタントの新實傑氏）

金融・信用分野：AIが“人生の格差”を固定化する領域

　・銀行の融資審査
　・保険加入の可否判断（クレジットスコアリング）

　この分野の本質的な危険は、AIが「誰にチャンスを与えるか」を自動決定してしまう点にある。AIが貸さないと判断すれば、その人は住宅も教育も起業も遠のく。つまり与信AIは、単なる業務効率ツールではなく“社会の入口”を支配する装置になっている。

権利・機会分野：採用・入試・評価で“不可視の差別”が起きる領域

　・企業の採用面接
　・大学入試の判定
　・人事評価システム

　AI面接や動画選考などが普及すると、「採用の公平性」そのものがブラックボックス化しやすい。もし落選理由が説明できないなら、企業は法的にもレピュテーション的にも重大なリスクを負う。

公共分野：国家権力とAIが結びつく領域

　・行政の給付金判定
　・犯罪捜査支援など

　行政領域でAIが誤判定を起こした場合、個人は“生活の土台”を一瞬で失う。
捜査支援AIの場合はさらに深刻で、誤判定が冤罪や監視社会に直結する。

「公共分野のAIは“民間の失敗”とは重みが違います。誤判定が生むのは単なる損失ではなく、権利侵害です。AIの判断に『異議申し立て』できる制度設計が不可欠になります」（同）

「適合性評価」「ログ保存」「人が監督」――求められるのは“AIの説明責任”だ

　高影響AIを扱う事業者に求められるのは、単なる注意義務ではない。製品やサービスを市場に出す前の「適合性評価」、運用時の「ログ（記録）保存」、そして「人が監督できる体制」の整備が前提になっていく。

　これは端的に言えば、AIの説明責任を企業に強制する規制だ。

　たとえば、銀行の与信AIが融資を拒否したケースを想像するとよい。これまでは「総合的に判断しました」で押し切れた場面でも、今後は次のような説明が求められ得る。

　・どのデータを参照したのか
　・何がリスク要因と評価されたのか
　・不利な属性による差別が混入していないか
　・人間はどこで介入できるのか

　つまり、AIが出した結論が正しいかどうか以前に、企業が“なぜそう判断したかを説明できるか”が競争条件になる。

　ここで多くの企業が直面するのが、「説明できないAI」がすでに業務の中枢に入り込んでいる現実だ。モデルが複雑になるほど、開発担当者ですら判断根拠を言語化できないことは珍しくない。だが規制環境では、“ブラックボックスで高精度”は免罪符にならない。

「今後の企業リスクは、AIが間違えることよりも“説明できないこと”に移ります。透明性は倫理ではなく、コンプライアンスです」（同）

日本企業も対象になり得る「域外適用」の衝撃――“韓国で使われるなら守れ”

　そして日本企業にとって最も厄介なのが、域外適用の問題である。

　同法には、韓国国内に拠点がない事業者であっても、韓国内でサービスを提供する、または韓国国民に影響を与える場合に規制が及ぶ――と解釈され得る構造が含まれる。

　これが意味するのは明快だ。サーバーも本社も日本にあることは、免責にならない。具体的には、ドラフトにある通り次のようなケースが現実の“地雷原”になり得る。

ケース1：日本の金融機関が韓国向けにAI与信を使う
　・韓国支店で利用
　・韓国居住者向けのアプリで提供
　・韓国の提携企業へ与信APIを提供
　与信はまさに高影響AIの中心領域であり、説明責任・ログ・監督体制が問われやすい。

ケース2：日本のゲーム・エンタメが韓国向け配信で生成AIを使う
　生成AIの場合、社会的影響の強い用途に該当するか否かがポイントになる。特に「表示義務（AI生成であることの明示）」や「透かし」などが制度要件に含まれるなら、コンテンツ制作工程そのものの刷新が必要になる。

ケース3：日本のメーカーが韓国の病院・交通機関にAIシステムを納入
　BtoBの納入でも、利用先がハイリスク領域（医療・交通等）なら規制対象になる可能性がある。この場合、AI提供企業は「納入したら終わり」ではなく、運用上の責任範囲を問われる局面が増える。

　さらに一定規模以上の海外事業者に対して、韓国国内に法的責任を持つ「代理人」の設置を求める可能性もある。
　ここまで来ると、企業が対応すべきものは“法律”だけではない。組織・契約・監査・体制整備という経営そのものだ。

「域外適用は“規制の輸出”です。GDPRが企業にプライバシー体制を作らせたように、AI規制もガバナンスを輸出します。アジア市場だから緩いという発想は危険です」（同）

世界のAI規制は「三極化」へ――EU・米国・韓国モデルの違い

　現在、世界のAI規制は大きく三極に分かれつつある。

① EU：人権最優先で厳格に縛る
　EUは人権・透明性を前提に、規制で市場を作る。罰則・義務を明示し、違反にコストを課すことで、企業行動を変えるアプローチだ。

② 米国：イノベーション重視で民間主導
　米国はテック産業の競争力を重視し、規制は比較的分散的になりがちだ。セクター別規制や州法の積み上げで、企業は“法域ごとの最適化”を迫られる。

③ 韓国：政府主導の産業育成＋安全網
　韓国は、AI産業を国家戦略として育成しながら、事故や権利侵害への備えも制度化する。「推進」と「規制」を同時に走らせるモデルだ。

　そして日本はと言えば、現時点ではガイドライン中心で、法的拘束力は限定的だ。だが同じアジア法圏でITインフラ環境も近い韓国が“ハードロー化”した意味は重い。韓国モデルが将来、日本の法整備の「ひな形」になる可能性は十分にある。

日本企業の「次の一手」――棚卸し・説明責任・契約再設計が急務

　では、日本企業は何をすべきか。結論から言えば、必要なのは“精神論”ではなく実務である。

　経営層は今すぐ、自社のAI活用状況を棚卸ししなければならない。特にチェックすべきは次の3点だ。

① 自社サービスは「高影響AI」に該当しないか
　・金融（与信・保険）
　・医療
　・交通
　・公共
　・採用・評価
　該当すれば、規制は「努力目標」ではなく「義務」になる。

② AIの判断プロセスは説明可能か
　・説明責任に耐える設計か
　・ログが取れるか
　・人間が介入できるポイントがあるか
“精度が高いからOK”という時代は終わる。説明できない高精度は、事業継続リスクになり得る。

③ 韓国向けビジネスの契約・責任分界を再設計したか
　BtoBの場合は特に、納入後の責任範囲が曖昧になりやすい。今後は以下の論点が契約に埋め込まれていく可能性が高い。
　・適合性評価の責任主体
　・モデル更新時の責任
　・監査権限
　・不具合時の停止プロトコル
　・“説明できなかった場合”のペナルティ「AIのガバナンスは、法務・開発・現場運用の三位一体でしか成立しません。どこかが欠けると“説明不能”になります」（同）

韓国は「AI規制への適応力」を測るテストベッドになった

　韓国市場はいま、世界でも早い段階で「AI規制への適応力」が試されるテストベッドになった。ここでルールに適応し、透明性の高いAI運用を確立できた企業は、次に訪れる“世界的な規制の波”にも対応できる。

　逆に言えば、韓国での規制対応を後回しにする企業は、将来EUや他国市場でも同じ壁にぶつかる可能性がある。AIは国境を越えて展開できるが、責任と規制もまた国境を越える。

　生成AIの時代、競争優位とは「より賢いAIを作ること」ではなく、社会に受け入れられる形でAIを運用できることへと移りつつある。

　日本企業に問われているのは、技術力ではない。“説明責任に耐えるAI”を、グローバル市場で実装する経営力だ。

（文＝BUSINESS JOURNAL編集部）